Le triptyque RGPD + AI Act + Data Act

Le cadre de référence d'EuTrustedIA — RGPD + AI Act + Data Act, le trio data complet de l'UE. Ce que nous couvrons réellement, et ce que nous ne couvrons pas.

Dernière mise à jour :

Le trio data de l'UE

L'Union européenne encadre les données et l'IA avec trois textes complémentaires. EuTrustedIA en fait son cadre de référence :

  • le RGPD (Règlement UE 2016/679) — protection des données personnelles ;
  • l'AI Act (Règlement UE 2024/1689) — encadrement des systèmes d'IA ;
  • le Data Act (Règlement UE 2023/2854) — accès, partage et portabilité des données.

Nous parlons de triptyque parce que ces trois textes se recoupent sur un même système IA : un agent qui traite des données personnelles (RGPD), produit des sorties générées par IA (AI Act) et s'appuie sur un cloud tiers (Data Act). La force de la carte vivante est de regarder ces trois angles sur le même nœud.

Ce que couvre EuTrustedIA

Le périmètre est strict et assumé (anti-promesse-creuse). Nous outillons les articles qui touchent réellement notre cible : solopreneurs IA, TPE/startups EU et les experts qui les accompagnent.

RGPD

  • Art. 5 — minimisation et principes de traitement
  • Art. 9 — données sensibles (catégories particulières)
  • Art. 25 — protection des données dès la conception et par défaut
  • Art. 32 — sécurité du traitement
  • Art. 35 — analyse d'impact (AIPD)

AI Act

  • Art. 50 — transparence des systèmes d'IA (information de l'utilisateur, marquage des contenus générés)
  • Annexe IV — documentation technique attendue

Data Act — couche déclarative, pas un pack de scan

Le Data Act est contractuel et architectural (clauses, juridiction, portabilité). Ce n'est pas un motif de code que l'on détecte dans un dépôt : il n'existe donc pas de pack de scan Data Act dédié. Il vit dans le produit sous trois formes :

  1. Anti-lock-in & portabilité du contexte IA — le module CDM (Context Data Management) trouve dans le Data Act (cloud switching, Art. 23-31) sa base légale.
  2. Scoring des nœuds SaaS / cloud — une dimension « conformité Data Act fournisseur » dans la carte : portabilité, interopérabilité, clauses abusives B2B (Art. 13).
  3. Narratif de réassurance — votre droit de changer de fournisseur cloud est un droit, on vous aide à l'exercer.

Notre cible est bénéficiaire de droits (anti-lock-in, portabilité), pas débitrice des grosses obligations IoT industrielles (les PME sont exemptées, Art. 7). C'est une honnêteté de profondeur : nous ne couvrons pas le Data Act IoT industriel, et il n'existe aucune « certification Data Act ».

Ce que nous ne couvrons pas (encore)

Reporté à des versions ultérieures, pour rester focalisés : DSA, Cyber Resilience Act, NIS2, ainsi que le multi-langage de scan (Java/Go/Rust/JS) et la couverture container/IaC complète.

Un cadre qui bouge — et que nous surveillons

Le législateur européen ajuste ce trio (paquet « Digital Omnibus », calendrier de l'AI Act en cours d'ajustement). Notre posture : vérité plutôt qu'audace. Nous ne vendons jamais sur une date butoir présentée comme acquise, et nous taggons la stabilité réglementaire de nos règles (stable / omnibus-watch). Avant toute publication d'une date précise, nous re-vérifions le texte sur la source officielle EUR-Lex.

Pour le détail des obligations, voir Obligations clés. Pour comprendre pourquoi nous documentons sans certifier, voir Documenter ≠ certifier.